Az először május elején megjelent Worm.Opnis család tegnap hajnalban felbukkant újabb variánsa, a Worm.Opnis.EM e-mail üzenetek tömörített mellékleteként terjed és két fájlkiterjesztéssel próbálja megtéveszteni a gyanútlan felhasználót. Futtatását követően a féreg további kártékony programokat próbál meg letölteni egy előre meghatározott webhelyről. Ennyivel azonban nem éri be, ugyanis a már fertőzött gépen további e-mail címek után kutat és ezekre továbbküldi magát. Az elmúlt 24 óra alatt mintegy 30 különböző, de romboló hatásukat tekintve egymáshoz hasonló variánst azonosítottak – adta tudtul sajtóközleményében a VirusBuster.
Trojan.Opnis.EM egy fertőzött email üzenettel érkezik a felhasználó levélfiókjába. Az üzenet minden esetben egy 11 kbájt hosszú, exepackerrel tömörített mellékletet hordoz - rendszerint egy adott listából generálódó megtévesztő névvel és félrevezető, kettős kiterjesztéssel. Maga a féreg egy Windows PE EXE típusú fájl, melyet a UPX segítségével tömörítettek össze.
Miután a gyanútlan felhasználó lefuttatja a programot, a féreg átmásolja magát egy 10 betűből álló, véletlenszerű névvel a Windows rendszer könyvtárába. A Windows rendszerleíró adatbázisában (Registry) pedig olyan bejegyzéseket hoz létre, amivel automatikusan lefuttathatja magát a rendszer minden egyes indításakor. Ezt követően a weben keresztül kapcsolatba lépni a
http://www6.vedasetionkderun.com/ webhellyel és megpróbál erről a címről további kártékony állományokat letölteni. Emellett a helyi gépen fertőzhető email címek után kutat az összes elérhető merevlemezes meghajtón, végezetül, kapcsolódik a levelező szerverhez, és továbbküldi magát magát a megtalált címekre.
A levelek Tárgysora (Subject) egy listából véletlenszerűen generálódik, például:
"Good Day",
"Server Report",
"hello",
"picture",
"Status",
"test",
"Error",
"Mail Delivery System",
"Mail Transaction Failed".
Hasonlóképpen a melléklet állományok elnevezése is változó lehet, például:
"test.log.bat"
"readme.elm.exe"
"docs.txt.scr"
Jól látható, hogy a fájl minden esetben egy megtévesztő, a melléklet lefuttatását biztosító második fájlkiterjesztéssel is rendelkezik.
A levél törzsében az alábbi szövegek jelenhetnek meg:
"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
"The message contains Unicode characters and has been sentas a binary attachment."
A féreg eltávolítása a VirusBuster antivírus termékeivel, a már futó folyamat leállításával, az állomány törlésével, valamint a regisztrációs bejegyzés törlésével lehetséges – javasolja Szappanos Gábor a VirusBuster víruslabor vezetője.
A Worm.Opnis.EM féreg eltávolításával kapcsolatos részletesebb információ a
http://www.virusbuster.hu/hu/viruslabor/leirasok/opnis.em internetes oldalon olvasható.